Příspěvky

106

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 10. 06. 2021, 21:53:07 »

Pozerám na HP LaserJet M130nw (zadanie: čo najlacnejší ČB laser+scanner s ethernetom, driverless pod Linuxom) a 802.1x vie; preto si viem predstaviť, že v HP s LAN je to základná funkčnosť. Pri wifi tlačiarňach sa spraví extra SSID, ktorý hodí pripojených klientov do správnej VLAN (mnoho z nich má minimálny stack a nevie ani WPA Enterprise, ani 5 GHz).

Ano, HP je asi čestná vyjímka, co má podporu pro 802.1x v celém portfoliu.

107

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 10. 06. 2021, 08:03:17 »

Řešením tedy je zapojit zařízení s různými požadavky do různých podsítí a uplatňovat pravidla pro komunikaci mezi jednotlivými podsítěmi.

Ale to je jen jinak popsané řešení VLAN (byť třeba VLAN nahradí jiná fyzická síť).
Bez routeru to nepůjde.

Ano, pokud používáš jeden prefix v jedné VLAN. U IPv6 můžeš udělat snadno i to, že jeden prefix /64 sdílí víc VLAN. Pak je výhoda vynucovat pravidla na základě VLANy. Klienty nastrkáš nějak do VLAN (dle MAC, pevně dle portů, dle 802.1x, ...), tyto VLANy spojíš do jednoho fyzického bridge, který má na L3 jeden síťový prefix /64 a na L2 jsou od sebe klienti izolovaní. Router bude ohlašovat, že veškerá komunikace má procházet přes router (není možná bod-bod komunikace mezi koncovými klienty - on link) a IPv6 stack v klientech ti vše doručí už na bránu, kde to profiltruješ a případně přepošleš dál.
Toto je konfigurace, jak si doma udělat víc oddělených síti a vystačit od providera jen s jedním prefixem /64. Nevýhoda je, že to ten router musí ustát, kdy každá bod-bod komunikace v LAN jde skrz router. V SOHO segmentu tohle třeba jde s Mikrotikem.

108

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 10. 06. 2021, 07:51:15 »

pouzit ULA v siti

ULA je pro vnitřní komunikaci snad ne? Neroutovatelné do internetu = potřeboval bych NAT  nebo Proxy a podvrhovat certifikát = fuj.

Zařízení, co nemá  být dostupné z netu a ani do něj lézt, tak můžu mít v segmentu, kde jsou jen ULA adresy. Ostantí zařízení, která lezou ven/jsou dostupná, tak vedle ULA mají i globální adresu (případně víc, pokud mám víc linek a prefixů). Vnitřní komunikace se odehrává na ULA adresách, co jde ven po těch globálních. IPv6 stack tohle umí rozumně rozhodnout, kdy má jakou použít. Taktéž v interním DNS mám jména vázané na ULA adresy a jsme tak imunní proti případnému změnu IPv6 globálnímu prefixu, nemá to na vnitřní provoz vliv.

s takovým režimem počítá

Super, stojí to za zkoušku.

Mimochodem, z IPv6 jsem poměrně zklamaný.
Je to složitější, zato výrazně horší.
A aby toho nebylo málo, šmejdští výrobci, kteří kašlou na bezpečností updaty, tomu rozhodně nepomáhají.

Jak jsme psal, specifikace je udělaná dobře, implementace váznou. :-( Ale u DHCPv6 jsme neověřoval. Respektive jim přiděluji ULA adresy a nemusím tak řešit renumbering u DHCPv6.
Naopak je to uděláno tak, aby typické end user nemusel do ničeho sahat a nastavovat ve svém koncovém routeru pokud nezačne mít přání ohledně filtrování provozu ven.
Zkrátka je to uděláno dost jinak, než u IPv4.

109

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 10. 06. 2021, 07:42:10 »

Normální člověk nepotřebuje tiskárně omezovat provoz ven, a když už, tak si na to koupí za pár stovek switch a šoupne to do jiné VLAN.

Čímž jsme se dostali k řešení srovnatelnému s ověřením na úrovni MAC.
Jelikož jste sám správně popsal, že to je na prd, tak v přidělením správné VLAN pomůže 802.1X, což je ta odpověď.

No, opět, jsme v SOHO - switche s podporou 802.1x jsou relativně dostupné (vlastně i Miktrotik krabičky umí už nějakou dobu fungovat s 802.1x i na metalickém ethernetu). S trochu štěstí mají i možnost lokálního Radius serveru, že do něj namlátím uživatele/hesla, pokud nemám externí Radius třeba v AD.
Ale tiskárna s 802.1x? Zase jich moc nevidím, co by to uměla, to je spíše doména až větších oblud, často třeba umí i IPsec, takže mezi tiskovým serverem a tiskárnou do provozu nikdo nevidí a neumí zasáhnout. Ale opět u tiskáren pro SOHO nějak nevidím. :-( A vedle tiskárny můžu doma řešit VoIP telefon, STB pro IPTV, autodráhu, .... Takže tam bude u řady zařízení fallback na max ověření MAC adresy a dle ní do určené VLAN.

110

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 09. 06. 2021, 10:06:16 »

Mimo to, čas od času se mění celá adresa sítě, nejsem si jistý, jestli by to nenarušilo fungování DHCPv6.

DHCPv6 protokol s takovým režimem počítá. Takže pokud přijde změna adres, tak DHCPv6 server obešle klienty, že současná adresa již neplatí a mají požádat o novou. Bylo to tak navrženo zejména s ohledem na  SOHO segment.
Jiná věc je, jak moc to mají zvládnuty jednotlivé implemetace (netestoval jsem).

111

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 09. 06. 2021, 09:00:37 »

Je třeba si realisticky uvědomit, že pro běžný SOHO segment je už hodně nadstandartní to, že chci vůbec filtrovat nějaký odchozí provoz (a je jedno, zda IPv4 nebo IPv6). :-)
V podstatě platí, že v takévém prostředí se řeže příchozí provoz (a občas jen povolí příchozí port/přesměrování, v domácím prostředí to často si udělá konfové zařízení samo pomocí UPnP, NAT-PMT, ...) a odchozí ven je volně puštěn.

V klidu bych použil ty filtry dle MAC adres. Pokud mám prostředí s rozumnou podporou VLAN, tak rozhážu ty kategorie do VLAN a filtruji primárně dle toho z jaké VLAN to přichází, kam odchází.

112

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 09. 06. 2021, 08:43:54 »

Ono to chce specifikovat pro jaké prostředí to řešíš a co v něm je za techniku na straně klientů i síťové infrastruktury. Pokud píšeš v prvním o centrálním linux firewallu, tak to také není výbava každé domácnosti, takže člověk čekal nějakou malou firmu. :-(
Pokud řešíš jen domácí síťku, tak asi půjdu to řešit jinak, než firemní prostředí.

Tiskárnu mám v samostatné VLAN (Brother umí IPv6) a filtruji na základě příchozího provozu z VLAN kam co ne/může, takže nemusím ani hledat, jak se v ní vypíná PE (a stejně má jen ULA adresu, takže ven nemůže, i kdyby chtěla). Podobně by šlo řešit další - tkrátka záleží, co máš za krabici u nich a co ne/umí. A doma pro prvotní filtr dle MAC v klidu použiju.
Ohledně změny IPv6 adresy - mám filtraci a spol udělánu na Mikrotik routerech s použitím address listů. Přímo používám dynamický renumbering (víc IPv6 uplinků a přepínám). Klienti mají jednak "fixní" ULA IPv6 adresu pro vnitřní provoz (a tyot adresy mám ve vnitřním DNS) a pak dynamickou globální dle právě aktivního IPv6 uplinku, což se něky změni i 3x za den. V Mikrotiku skript dle toho se přehodí obsahy address listů a jede se dál.

Jinak babču, dědu a spol řeším tak, že z jejich routerů mají VPNky ke mě domů, zde mám Radius, doménový řadič, ..., co řídí/aktualizuje/dohleduje jejich síťky a počítače na dálku. :-)

113

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 09. 06. 2021, 07:04:59 »

Toho samého můžete docílit vypnutím SLAAC a přidělováním adres přes DHCPv6.
Trochu (větší) problém je, že někteří výrobci se rozhodli DHCPv6 ignorovat - např. celý Android.

Nemusí SLAAC vypínat, pokud v sítí má věci, co DHCPv6 neumí. I u SLAAC je přidělená  IPv6 adresa pevně jasná (a u klasická implementace má v sobě MAC adresu stroje ve formě EUI-64). Stačí vypnout privacy extension pro randomizaci adres pro odchozí spojení.
Ono ani samotné 802.1x nic neřeší. Z něho se nedozvím jakou kdo má IPv4/6 adresu. Jenže ono to pak potřebuje spolupráci víc zařízení na víc vrstvách, aby se to správně celé poskládalo.

114

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 09. 06. 2021, 00:05:34 »

Vidíš, jsou LAN, kde se uplatňuje plně i MACsec, takže komunikace mezi klienty se šifruje na L2. Pak kdo je kdo se poznává krásně. :-)

Pokud ti stačí ke štěstí systém jak v IPv4, že jsi dal klientovi v DHCPv4 pevnou IP dle MAC a na tu IP dával pravidla ve firewallu, tak pokud máš v síti jen klienty, kteří podporují stavové DHCPv6, tak jim úplně stejně nastav IPv6 adresu přes DHCPv6 plus přes ohlášení routeru vypni, aby klienti si přiřadili adresu dle SLAAC a máš to stejné. Pokud klienti umí jen SLAAC, tak jim nech SLAAC a vypni privacy extension a také budeš mít jasné, kdo je kdo na podobné úrovni, jak s tím DHCPv4 a firewallem na IPv4 (jen u toho SLAAC bez PE to bude kapánek i jasné dalším mimo tvou síť). :-(

115

Sítě / Re:Napadený Mikrotik (klientská jednotka) ISP

« kdy: 07. 06. 2021, 22:26:05 »

Tak v tom napadeném routeru může být klidně rozjetá proxy, socks server a další, což ROS umí. A pak přes to může lézt do Internetu zprostředkovaně kde-kdo a kde-co z nejpodivnějších míst, takže ubere na konektivitě, když mu ji to kapánek vytíží. A to vše bude vystupovat pod jeho IP, takže za chvíli bude na hormadě blacklistů a nepošle z té IP mail a ani se nedostane na řadu jiných míst a snadno se mu může stát, že se ta IP dostane preventivně i na odchozí blokace, takže se na ni nespojí z některých sítí, co blokují přístupy k provařeným IP ze svých sítí jako preventivní ochranu.
A pokud mu router těží nějakou měnu, tak mu to ubere i dost a výkonu, protože vše v tom honí přes CPU a výkonu to často nemá nazbyt...
Takže samé pozitiva, co nedávají dobré vyhlídky do budoucnosti, i v případě, že to aktuálně "moc nevadí".

116

Sítě / Re:Napadený Mikrotik (klientská jednotka) ISP

« kdy: 07. 06. 2021, 17:13:05 »

... nebo bys mohl začít ještě více tlačit na pilu a odkázat se na nějaký paragraf, který nařizuje ISP, aby své zařízení udržovali zabezpečené a zamezili hrozícím škodám. Pevně věřím, že takový paragraf existuje, ale jestli už pak není lepší vyvíjet energii spíše na hledání nového ISP 

Jistě, zákon o elektronických komunikacích §98 Bezpečnost a integrita veřejných komunikačních sítí a služeb elektronických komunikací.
Jenomže ono je to kapánek složitější. Podstatné je, co je definováno jako koncový předávací bod mezi zákazníkem a sítí.
Také je prvně nutný předpoklad, zda daný ISP funguje jako veřejná telekomunikační síť, pokud ne, tak se ho tento zákon netýká.
Pokud daný ISP působí jako veřejná telko síť a předávací bod k zákazníkovi je definován až za tento wifi router (metalický Ethernet port) na spoji mezi tímto routerem a routerem zákazníka, tak může jít prudit skrz ČTU - ale pak bude samozřejmě hledat nového ISPíka stejně. :-(
Jestli-že je předávací bod definován před routerem=wifi signál (jestli-že tazatel hovoří o koncové wifi jednotce pro připojení), tak přestože je koncové zařízení majetkem ISP a správu provádí ISP, tak už je to na odpovědnosti zákazníka, co si s daným subjektem nasmlouval a jak si ho ukočíruje. ČTU náleží maximálně kontrola, zda bezdrátová část odpovídá legislativním požadavkům.

117

Server / CouchDB - mapování mezi partition a datovým shardem

« kdy: 04. 06. 2021, 17:16:08 »

Tak si hraji s CouchDB a myšlenkou na použití víc partition v rámci jedné DB a zkoumám, zda se dá předepsat nějak funkce, která by řekla do jakého datového shardu se má jaká partition mapovat? Nebo tohle nemám šanci ovlivnit? Předpokládám, že to dělá nějaký hash ze jména partition a tím to namapuje na shard, ale ani nikde jsem nenašel, jak to doopravdy dělá (a to ani pro případ, že se nepoužívá partitioning, tak jak volí algoritmus mapování klíče na shard).
Listování v dokuemtnaci a Googlu zatím nikam nevedlo. Na zkoumání Erlangu asi nervy a hlavu nemám. :-(

118

Vývoj / Re:Vývoj webových aplikací pro nenáročné

« kdy: 27. 05. 2021, 22:24:00 »

BTW, nasel jsem tohle, ale pamatuju si, ze existuje lepsi a delsi verze.
https://medium.com/@boopathi/it-s-the-future-7a4207e028c2

Heh, pěkné. Jsem se pobavil, pak zamyslel a zjistil, že z těch technologických zkratek člověk znal možná jen to JQuery. Jsem rád, že se tím nemusím živit a až budu muset zase si vyrobit pro test/ukázku jednoduchou stránku, tak zase za noc zbastlím čistý jednosouborový javascript smíchaný s HTML a možná k tomu ještě jeden CSS soubor... :-)

119

Vývoj / Re:Doporučte rychlý WWW widget pro view SQL tabulky

« kdy: 20. 05. 2021, 19:45:16 »

Uff, jak bych byl rád, kdyby uživatelé po nás chtěli jen tabulku o jednom tisíci řádků. Ty junioři analyzátoři chtějí tabulku o 4 až 5000 řádků. Jejich plesnivej šéf tabulku o 50.000 řádcích. Žádné filtrování, žádné stránkování, to zdržuje, vyhoď do prohlížeče tabulku, já chytnu posuvník a projedu ji za cca 30 sekund odshora dolů a vím jak zkouška dopadla, voko totiž není <pííp> a vidí.... A nemusím čekat, až oddělení výpočtů a analýz to vedle přechroupá za 5 hodin a vypadne z nich je OK/není OK. :-)
Pár sloupců - název relátka/spínáče, čas posledního sepnutí na milisekundy, stav, doba přepnutí.... Pozice řádků je pevná, takže vyhledávání na řádek dělá tak, že najede posuvníkem na naučenou pozici, zkrátka to zná po paměti (jen když dostane nový monitor a myš, tak chvíli trvá, než se přeučí na aktuální geometrii). A ten poloslepej plesnivec se nesplete. Když neměl prohlížeč v PC, tak před 30-ti lety to vyhodnocoval tak, že mu to ADT4500 vytisklo na balík papíru, který si protočil přes mandl a měl výsledek také (na tom ADT to pak analyzovali cca týden, co on na tom mandlu z traktorového papíru sjel okometricky za pár minut).
Nu, a když nezkoumá zrovna zkoušku, tak v si tabulku zobrazí pro radost a řádky se v ní ještě živě aktualizují, cca desítky-stovky řádku/sec (a dost se ukazuje, že posílat data k aktualizaci přes MQTT embedované ve websocketu jako JSON zprávy je dost omyl, prohlížeč je z toho na prášky).

120

Server / Re:Domenová koncovka (tld) pre osobnú stránku

« kdy: 09. 05. 2021, 20:01:03 »

Co TLD .name? Byla i za pár šupů. Mám prezdivka.name. :-)